W97.Ortant

marcin_kar · 21 Kwiecień 2005 18:54

podejrzewam ze mam to coś co mi wywala co jakis czas system32 i pliki które tam są(podejrzewam) W97.Ortant,ostanio wywaliło mi plik hal.dll,czy wie ktoś jak to usunąć?? mam kaspersky antiwirus

kuz5 · 21 Kwiecień 2005 19:17

Wklej loga HijackThis 1.99.1

Odpalasz program i klikasz Do a system scan and save a logfile następnie automatycznie wyskoczy dokument tekstowy którego całą zawartośći wklejasz na forum.

misterdam · 21 Kwiecień 2005 19:24

Również znany jako: W97.Ortant Typ: wirus Podtyp: makrowy Worda 97 Niszczący dyski: nie Niszczący pliki: tak Efekty wizualne: nie Efekty dźwiękowe: nie Ortant jest wirusem makr Worda 97, którego działanie polega również na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz usuwaniu określonych plików z dysku. Wirus infekuje globalny szablon normal.dot edytora Word, czego efektem jest infekowanie dokumentów w czasie ich otwierania i zamykania. Wirus posiada również możliwość rozsyłania własnych kopii za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows. Na koniec wirus rozpoczyna swoją procedurę destrukcyjną polegającą na usuwaniu z dysku następujących plików: C:\Windows\System32\hal.dll C:\Windows\System32*.* C:\Windows\Explorer.exe C:\Windows\Taskman.exe C:\Windows\System32\Access.cpl C:\Program Files\Symantec C:\Program Files\Common Files\Symantec Shared C:\Program Files\Norton Internet Security Professional\Norton AntiVirus C:\eSafe\Protect C:\Program Files\Command Software\F-PROT95 C:\PC-Cillin 95 C:\PC-Cillin 97 C:\Program Files\Quick Heal C:\Program Files\FWIN32 C:\Program Files\FindVirus C:\Toolkit\FindVirus C:\f-macro C:\Program Files\McAfee\VirusScan95 C:\Program Files\Norton AntiVirus C:\TBAVW95 C:\VS95 C:\Program Files\Norton Internet Security Professional C:*.* C:\Program Files\Trend Micro\OfficeScan Client Dodatkowo wirus losowo może zabezpieczać hasłem infekowane dokumenty oraz usuwać pliki z katalogów: C:\Windows\System\ C:\Windows\System32\ C:\Windows\System\ C:\

Po pierwsze wyłącz przywracanie systemu.

Włącz skanowanie całego dysku (to jest stary wirus więc z jego usunięciem nie powinno być problemu)

Napraw Windows przez uzupełnienie brakujących plików (może być reinstall)

marcin_kar · 21 Kwiecień 2005 20:41

czy Wy tu macie wszystkich za idiotów??

wysyłałem loga dzień przed tym jak mi się to zrobiło,mam zainstalowany kaspersky,który mi regularnie sprawdza dysk,a na googlu to prawie każdy może sobie poszukać i to że to się nazywa Ortant znalazłem z tego samego co wkleiłeś,ludzie ja się po proostu chciałem dowiedzieć jak temu zapobiec…

misterdam · 21 Kwiecień 2005 20:49

Zalecenia Symanteca poczytaj

http://securityresponse.symantec.com/av …nt@mm.html

Ps. Twoje pytanie brzmiało

Gutek · 21 Kwiecień 2005 20:55

Alternatywną przeglądarkę: zamiast IE stosować: Moxillę/Firefox

Pest Patrol/Spybot Search & Destroy (do wyboru) + Microsoft AntiSpyware. Dobrze jest mieć HijackThis i CWShredera. Co do Antywira i firewalla, to rzecz gustu

Scanowanie co jakiś czas systemu scanerami online

asterisk · 21 Kwiecień 2005 22:40

No nie zupełnie, bo zadałe pytanie

Dlatego też daruj sobie takie pytania

Bo niby skąd ma ktoś wiedzieć, o co Ci chodzi,

jeżeli z postu wynika coś zupełnie innego :o

marcin_kar · 22 Kwiecień 2005 05:22

Ok,więc teraz pytam czy ktoś mi powiedział jak usunąć??bo skanerami online juz sprawdzalem,zwykłymi też,przywracanie miałem wyłączone zawsze!!Myślałem że ktoś miał ten sam problem i mi pomżecie,ale widocznie nikt nie miał,no bo troche to jest dziwne że formatujesz twardziela i co jakiś czas Ci wyskakuje że nie ma folderu syste32,albo brakuje hal.dll,więc to co mi piszecie naprawde nie daje rezultatów,a wcześniej to może i racja ,pytałem jak usunąć.naprawdę jestem troche zdesperowany ,bo próbowałem już dużo rzeczy i nic

Logfile of HijackThis v1.99.1

Scan saved at 07:20:44, on 2005-04-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\htpatch.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM…\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [KAV50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe” -run -n PersonalPro -v 5.0.0.0

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [eMuleAutoStart] C:\e-mule\emule.exe -AutoStart

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{CD9B9CA7-E05C-487D-BDBA-F55BF73BE1C7}: NameServer = 62.179.1.60,62.179.1.61

O23 - Service: KLBLMain - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Damian · 22 Kwiecień 2005 06:34

Loga masz czystego.

marcin_kar · 24 Kwiecień 2005 16:33

no właśnie a już widzę ze coś się zaczyna psuć